TousAntiCovid Verif valide un peu trop vite les pass dans une configuration spécifique 🆕
Alors que le Conseil constitutionnel doit se prononcer ce jeudi 5 août sur l'extension du pass sanitaire aux restaurants et à certains transports, IN Groupe (ex-Imprimerie Nationale) a finalement diffusé le code source de l'application TousAntiCovid Verif qui est utilisée par les professionnels pour scanner les pass. Ce code, qui n'est disponible que partiellement, a été analysé par le développeur gilbsgilbs, il a relevé plusieurs anomalies.
Un problème majeur est que si l'on passe le téléphone Android en langue anglaise (celui qui sert à valider le pass, pas celui qui présente le pass), l'application va alors considérer tous les QR code comme valides. Un dysfonctionnement que nous avons pu vérifier :
C'est une erreur de développement assez grossière qui pourrait amener des problèmes en cette période de vacances. Les professionnels du tourisme qui utilisent un appareil Android configuré en anglais vont donc obtenir un feu vert pour tous les QR code, même ceux qui sont invalides, jusqu'à ce que l'anomalie soit réglée. Sur la version iOS de TousAntiCovid, ce problème n'est pas présent car l'implémentation est différente.
gilbsgilbs critique également la licence du code source qui est propriétaire et contraignante. Celle-ci interdit les forks (versions alternatives basées sur le même code) et la redistribution des sources. La Suisse dispose d'une application semblable qui est entièrement open source, il estime que la France devrait être en mesure de faire la même chose et de ne pas jouer la sécurité par l'obscurité. Récemment, IN Groupe a ajouté du chiffrement de bout en bout pour la conversion des certificats qui transitent sur les serveurs de l'américain Akamai. Orange devrait prochainement prendre la relève.
Mise à jour le 10 août : le bug lié à l'anglais a été corrigé par la version 1.7 de TousAntiCovid Verif sur Android.
[Modéré - SM]
[Modéré - SM]
@romainB84
Eh ben ! Je sais pas ce que vous avez fait mais c’est pas bien pas bien ! Vous croyez qu’ils ont que ça à faire chez MacG ? Hein ? Toute modération entraîne une perte de publication d’articles sponsorisés, d’articles intelligents pour les abonnés, etc !
Vous devriez porter le badge de la HONTE à la place de la petite couronne 👑 😏😈😬
@Sindanárië
Grosse opération de délation après avoir déversé son mépris. Voilà ce qui s’est passé.
Le monsieur est du genre à dénoncer ses collègues de travail.
@Steve Molle
Ça s’appelle une gestapette !
Désolé 😬
🚪 🏃🏽
@Sindanárië
@Sindanárië
@Steve Molle
Si pas de remontée de GPS , l’état saura (saurait) juste que tel QR a été scanné a tel moment.
Le QR de l’ami qui est avec toi, rien ne dit (sans GPS) qu’il est au même resto que toi, juste que le scan est à qq seconde du tiens.
A un moment il faut arrêter les approximations.
@julien74
Remontée de l’établissement ?
@Steve Molle
Je suis un particulier, j’utilise TousAntiCovid vérif, quel établissement l’app remonte???
Édit: verifié, l’app ne demande pas l’accès au GPS, et nul endroit ne permet de saisir un quelconque « établissement ». Mr raconte n’importe quoi donc.
Vous pouvez vérifier par vous-même que TousAntiCovid Verif ne communique avec rien ni personne quand on l'utilise (je vous ai donné la méthode un peu plus haut)
@Steve Molle
> Petite application : s’il y a transmission on pourrait savoir avec qui a mangé x ou y,
> a quel endroit, et à quel moment
Avec le QR Code d'un status vacinal !?!?
Vous ne confonderiez pas avec le scan d'un QR Code d'un établissement ouvert au public en fait ?
QR Code qui, pour rappel, ne contient qu'un numéro anonyme généré à la demande de l'établissement, nullement la position de cet établissement ni son nom. C'est très facilement vérifiable avec une app affichant le contenu du QRCode.
Alors, certes, en croisant la liste de QR Codes scannées par A, B et C, si l'on voit que le même QR Code est présent, on sait que A, B et C sont allés dans le même établissement, chacun à tel heure. Mais l'établissement reste anonyme et non géolocalisable, et A, B et C restent également des pseudonymes.
Oh, certes, au sein de votre famille, vous pouvez savoir que tel membre de votre famille ayant le même QR Code dans son journal de carnet (mais cela implique qu'il vous le montre, ou que vous violez vous même son droit à ne pas pour le montrer) vous pourriez deviner que comme ce QR Code vous l'avez vous aussi dans votre carnet et qu'à cet heure tel jour vous étiez dans tel resto / bar / établissement, alors vous, *vous*, vous pouvez géolocaliser.
Mais l'état, lui, n'a pas ces informations. Car lui ne peut pas savoir quel QR Code est utilisé par tel établissement, la génération du code étant accessible librement sans devoir fournir la moindre info personnel. Vous même pouvez générer un QR Code pour votre maison si cela vous chante, pas exemple, et le service web de generation ne vous demande rien pour cela, l'état ne peut donc rien déduire à partir du code QR qu'il a généré pour vous.
En ce qui concerne le QR Code des pass sanitaires, l'état le connait déjà, tout comme il sait qui a été vaciné juste avant et juste après dans le même centre de vaccination.
Mais cela ne vous concerne pas, puisque vous êtes probablement antivax de toute façon.
@byte_order
ceux qui se méfient de la surveillance ne sont pas nécessairement anti-vax
et ceux anti-vax ne sont pas nécessairement ufologue
et ceux ufologues n'aiment pas forcément le cassoulet.
@oomu
C’est louable de chercher à leur expliquer …encore faut il que l’ensemble des lumières soit allumé à tous les étages. Et ça c’est pas gagné, hélas.
C’est pour cela que je n’ai pas répondu.
@Steve Molle
> C’est pour cela que je n’ai pas répondu.
Ben tiens.
C'est vrai que répondre comment le scan d'un QR Code de status vaccinal permet de connaitre les établissements que vous avez fréquenter et avec qui, ça, on attend toujours que vous l'expliqiez.
A défaut, *moi*, j'ai tenté de vous expliquer pourquoi vous confondez ce qui est possible de faire avec le QR Code pass sanitaire et avec le QR Code "carnet d'exposition dans un etablissement". Ce n'est pas parce que c'est un QR Code dans les 2 cas que c'est la même chose, que cela permet les mêmes choses, que cela exposent les mêmes choses...
La lecture d'un QR Code "votre menu" vous traque, via l'accès à une page web, probablement bien plus que les QR Code mis en place par l'état pour la lutte contre le Covid. Et pourtant personne ne rale sur leur généralisation. Parce que ce tracking est a but commercial, tandis que l'état c'est forcément le diable en personne pour certains.
Au passage, en terme d'apprentissage du respect des autres et de la politesse et de l'absence d'arrogance, vos commentaires en disent plus sur vous que sur ceux que vous dénoncez.
@byte_order
Je ne confonds pas les deux. Je m’interroge et c’est mon droit sur la récolte et l’utilisation des données par un gouvernement dont on doit se méfier.
La défenseur des droits a exprimé les mêmes craintes il n’y a pas 1 mois.
As tu usé d’anathème à son endroit ?
Et au passage confondre surveillance et antivaccination en dit long sur toi.
@Steve Molle
> C’est pour cela que je n’ai pas répondu.
Ben tiens.
C'est vrai que répondre en expliquant comment le scan d'un QR Code de status vaccinal permet de connaitre les établissements que vous avez fréquenter et avec qui, ça, on attend toujours que vous l'expliquiez.
A défaut, *moi*, j'ai tenté de vous expliquer pourquoi vous confondez ce qui est possible de faire avec le QR Code pass sanitaire et avec le QR Code "carnet d'exposition dans un etablissement". Ce n'est pas parce que c'est un QR Code dans les 2 cas que c'est la même chose, que cela permet les mêmes choses, que cela exposent les mêmes choses...
La lecture d'un QR Code "votre menu" vous traque, via l'accès à une page web, probablement bien plus que les QR Code mis en place par l'état pour la lutte contre le Covid. Et pourtant personne ne rale sur leur généralisation. Parce que ce tracking est a but commercial, tandis que l'état c'est forcément le diable en personne pour certains.
Mais continuer d'étiquetter ceux qui contestent vos affirmations dont vous n'avez toujours pas expliquer leur justification technique. Cela éclaire votre remarque sur l'éducation à la politesse, au respect des autres et à la non arrogance d'une lumière bien particulière...
@byte_order
Je ne confonds pas les deux. Je m’interroge et c’est mon droit sur la récolte et l’utilisation des données par un gouvernement dont on doit se méfier.
La défenseur des droits a exprimé les mêmes craintes il n’y a pas 1 mois.
As tu usé d’anathème à son endroit ?
Et au passage confondre surveillance et antivaccination en dit long sur toi
@Steve Molle
"Je ne confonds pas les deux. Je m’interroge et c’est mon droit sur la récolte et l’utilisation des données par un gouvernement dont on doit se méfier. "
On doit se mefier, c’est a dire? (C’est serieux)
Ce meme gouvernement qui a deja toutes les infos dispo avec ce QR code, d’autant plus que ce code est créé par ce meme gouvernement.
@oomu
> ceux qui se méfient de la surveillance ne sont pas nécessairement anti-vax
Ce n'est pas ce que j'ai dit.
Ce que j'ai dit, c'est que le fait que l'état sache des choses sur les gens vaccinés ne concernent pas les antivax, puisqu'ils ne le sont pas.
@byte_order
Non. Tu as clairement dit que j’étais antivax.
@Steve Molle
> Non. Tu as clairement dit que j’étais antivax.
"Probablement". Oui.
Mais cela n'est pas une preuve que je pense que tout ceux qui se méfie de la surveillance d'état sont forcément anti-vaccination.
> Je ne confonds pas les deux.
Alors pourquoi parlez-vous de geolocalisation sur le scan d'un QR code de status vacinal !?
Pourquoi parlez-vous de géolocalisation via le scan d'un QR Code d'un restaurant etc alors qu'aucune information de geolocalisation ni autre n'est associé à ce code !?
> Je m’interroge et c’est mon droit
Oui
> sur la récolte
Que vous ne démontrez pas mais vous contenter d'affirmer qu'elle a lieu et non seulement lieu mais qu'elle comporte forcément des données personnelles.
> et l’utilisation des données par un gouvernement dont on doit se méfier.
Doit ?
Depuis quand c'est un devoir de se méfier d'un gouvernement ?
Votre liberté de vous en méfier de vous donne pas le droit d'exiger que tout le monde doive en faire autant.
> La défenseur des droits a exprimé les mêmes craintes il n’y a pas 1 mois.
Attention à ne pas confondre crainte et la réalité des informations présentes et donc théoriquement exploitables.
Je vous invite à tester vous même ce que contient un QR Code "restaurant/etc" pour voir ce qu'il y a dedans.
Je vous invite à aller sur le site permettant de génerer ce type de code et observer vous même quel information vous ont été demandé lors de cette démarche. De refaire cette opération en utilisant un autre navigateur, le même, en ayant flusher le cache, derrière un VPN.
Bref, de vérifier si vos craintes sont fondées sur un début de réalité ou pas.
> Et au passage confondre surveillance et antivaccination en dit long sur toi
Si vous qui manipulez les 2 types de QR Codes pour affirmer vos craintes comme étant fondées sur les 2.
@byte_order
Expliquez moi dans ce cas comment l’ars (ministère de la santé) peut pointer du doigt nommément un établissement tel un resto par exemple en cas de cluster pour faire appeler les clients (bon dans les faits, ça n’a pas été suivi d’action mais bon la théorie est la elle).
Facile
Quand vous faites un test et que vous etes positif au Covid, on prend les codes que vous avez scannés depuis une semaine:
Vous avez scanné
le 7 juillet le code QA345#34d
Le 5 juillet le code DF564D&tg
Le 1er Juillet le code G@fg546HJ
(Personne ne sait à quel établissement correspond chacun de ces codes qui sont délivrés de façon totalement aléatoire)
On contacte toutes les personnes qui ont scanné ces mêmes codes aux mêmes dates pour leur signaler qu'elles sont potentiellement cas contact et doivent se tester.
Si on s'aperçoit que 80% des personnes ayant scanné le code DF564D&tg le 5 juillet sont également positives alors on a un cluster. On vous demande alors où vous êtes allé ce 5 juillet pour contacter le propriétaire de ce lieu pour qu'il alerte son personnel et les personnes ayant simplement rempli le cahier et qu'ils se fassent tous tester.
@r e m y
Mais je pensais que les personnes qui scannent les QR restaient anonymes…du moins c’était l’argument.
Donc comment êtes vous contacté ?
Via l'app TousAntiCovid comme quand l'app détecte elle-même un cas contact.
@Steve Molle
> Expliquez moi dans ce cas comment l’ars (ministère de la santé) peut pointer du doigt
> nommément un établissement tel un resto par exemple en cas de cluster pour faire appeler les clients
l'ARS fait du tracking manuel également. Principalement, en fait. Si les testés positifs déclarent (et pas sous la torture, ils restent libres de ne pas répondre) avoir fréquenté récemment tel établissement et qu'ils sont nombreux dans ce cas, l'ARS déclare un cluster et sollicite le carnet de rappel *manuel* d'exposition de cet établissement. Carnet remplis uniquement par les gens volontaires pour le faire (personne ne pointe un flingue pour contraindre de remplir le carnet de rappel à l'entrée d'un resto, hein).
Le QR Code "TousAntiCovid", lui, n'a pas besoin de savoir le nom de l'établissement ni sa position géographique ni le nom des gens l'ayant visités, le testé positif le déclarant via son app déclenchera l'envoi d'une notif "risque d'exposition" à toutes les apps qui ont le QR Code 967AF435-0F43-45AC-... (c'est un exemple) dans la liste des QR Code croisés ces 14 derniers jours. Nul besoin de connaitre les coordonnées des gens pour cela, c'est l'app installée (volontairement) par les gens qui le fait, et le code unique lu via le QR code est suffisant pour cela.
Votre tour maintenant : expliquez moi comment le QR Code d'un status vaccinal permet à l'état de connaitre quel resto ou autre lieu acceuillant du public vous avez fréquentez, quand et avec qui.
Merci.
@byte_order
Je ne prétends rien. Je m’interroge. On a encore le droit ou bien on est tenu de se ranger sans réfléchir ?
@Steve Molle
> Je ne prétends rien.
Si.
Vous prétendez ceci :
"Petite application : s’il y a transmission on pourrait savoir avec qui a mangé x ou y, a quel endroit, et à quel moment."
Vous prétendez bien que une transmission (sans jamais parler de quoi) permettrait une atteinte à la liberté individuelle.
Alors qu'à aucun moment vous vous êtes pencher sur ce que contient comme info les 2 QR Codes évoqués, celui du status vaccinal et celui affiché à l'entrée des établissements type resto etc.
C'est bien beau de s'intérroger sur le risque d'une transmission, mais faudrait également s'intérroger sur les données exploitables à disposition lors de cette hypothétique transmission afin de voir si elles permettraient en effet de violer la liberté individuelle.
Hors, vous, en vous interrogeant sur une hypothétique transmission, vous sautez directement à la conclusion qu'en telle circonstance "on pourrait savoir avec qui a mangé x ou y, a quel endroit, et à quel moment.". En vous contrefoutant que les données fournis par ces QR codes ne le permettent pourtant pas dans le cas des QR des resto etc, et dans le cas de status vaccinal, l'assurance maladie a *déjà* de facto ces données de toute façon dès lors que vous avez accepter de vous faire vacciner (ou tester PCR etc). Tout comme l'état sait combien de fois vous aller chez votre médecin par an (et c'est pas pour autant qu'il s'en sert pour attenter à votte liberté individuelle pour autant...)
> On a encore le droit
Bien sur.
> ou bien on est tenu de se ranger sans réfléchir ?
Non.
Mais si reflechir c'est juste établir que si tranmission alors y'a forcément transmission de données personnelles sans réfléchir d'où ces données personnelles auraient pu provenir, là c'est pas réflechir, c'est juste extrapoler une crainte de transmission en crainte de violation de vie privée.
"Transmettre" n'implique automatiquement violation de vie privée ou liberté individuelle.
@byte_order
J’ai dit « si »
Et il n’y aucune preuve absolue pour le moment qu’il n’y a pas transmission.
Et s’il y a transmission, quelles données le sont.
Voilà ce que je dis. Je maintiens mes propos.
Je suis très étonné que tous anti Covid par exemple n’utilise à aucun moment l’imei des téléphones par exemple.
"Et il n’y aucune preuve absolue pour le moment qu’il n’y a pas transmission."
Je vous ai donné la méthode pour vérifier vous-même qu'il n'y a aucune transmission, mais visiblement vous n'avez même pas essayé, des fois que ça vous donne une preuve venant contredire vos belles théories complotiste... 🤦♂️
@r e m y
Tu l’as essayé par toi même avant de la prescrire aux autres ?
Évidemment ! C'est une solution tres simple à mettre en œuvre et que j'utilise fréquemment !
@r e m y
Et donc tu peux affirmer à 100% que l’application ne transmet rien ?
Je l'ai déjà écrit en vous donnant la méthode pour le vérifier par vous-même !
@Steve Molle
> Et il n’y aucune preuve absolue pour le moment qu’il n’y a pas transmission.
Et il n'y aucune preuve absolue pour le moment qu'il n'y en a.
Si l'absence de preuve n'est pas une preuve de l'absence, c'est pas non plus une preuve de l'existence, hein !
Et la transmission hypothétique n'est pas le problème, le problème c'est ce qu'elle hypothétiquement contriendrait.
> Voilà ce que je dis
Non.
Ce que vous avez dit c'est :
SI transmission ALORS on pourrait savoir avec qui a mangé x ou Y, à quel endroit et à quel moment.
Sans expliquer à l'aide de quelles données transmises et d'où elles seraient issues.
Ce que vous avez dit c'est :
SI transmission alors violation de la liberté individuelle.
Vous avez fait le raccourci transmission alors possible violation de vie privée, sans aucune nuance ni explication sur les données exploitées pour cela.
Alors que c'est pas la transmission qui compte, ce qui compte c'est ce qui est transmis ou pas.
Mais étrangement, vous n'avez toujours pas, malgré plusieurs demandes, expliquer les données, selon vous, qui sont transmises liés au scan d'un QR Code d'un resto etc.
Ni réagit au fait que les données transmises lors d'un scan d'un QR code de status vaccinale sont *fatalement* déjà connu de l'assurance maladie vu que c'est elle qui les génère...
> Je suis très étonné que tous anti Covid par exemple n’utilise à aucun moment
> l’imei des téléphones par exemple.
Vous etes étonné qu'une appli qui a fait explicement l'objet d'un effort pour ne pas exposer de données permettant d'identifier quelqu'un n'utilise pas une donnée qui permet d'identifier quelqu'un !?
@byte_order
Cadeau pour réfléchir :
https://www.lesechos.fr/2015/04/octave-klaba-le-projet-de-loi-sur-le-renseignement-rapproche-la-france-des-pires-regimes-257731
@Steve Molle
1) en quoi c'est une preuve que les QR Code émis par l'étant français peuvent et sont utilisés pour espionner les français et une violation de leur liberté individuelle !?
2) Projet. Il se trouve que les boites noires automatisées, ne sont, à ce jour, toujours pas autorisées par la loi. Autant je comprends la vigilance et l'opposition ) ce type de projet, autant je conteste que cela constitue la moindre preuve sur les données privées qui sont (hypothétiquement) transmises à l'état par l'usage des QR Code liés à sa politique de lutte contre le Covid.
3) Rien ne vous oblige à ce jour à utiliser un QR Code. Rien. Cela reste un choix individuel de le faire ou pas. A contrario, des boites noires de surveillance de masse, elles, ne relèveraient pas du choix indivuel ni du consentement préalable. Grosse différence, donc.
@Steve Molle
"Transmettre à qui ? A l’Etat."
C’est aussi l’Etat qui cree le QR code donc bon… si mon banquier a le numero de ma CB ca va pas me faire un deuxieme trou au posterieur en d’autres termes 🤓
@Paquito06
https://www.franceinter.fr/amp/monde/libye-les-preuves-de-la-surveillance-numerique-made-france
Des trous tu n’en as visiblement pas assez:
@Steve Molle
Aucun rapport avec le QR code de l’Etat mais ok 😅
LittleSnitch ne sert à rien, ils utilisent les puces 5G qu'ils t'ont injecté en même temps qu ele vaccin! C'est impossible à tracer
Eh bah tu supprime le cache avant de relancer la connexion si t'es parano
@TheDeepShadow
?????? De quoi parles-tu ?
Quand on lit cet article :
https://www.lesnumeriques.com/vie-du-net/donnees-medicales-et-personnelles-le-pass-sanitaire-et-l-application-tousanticovid-verif-a-l-epreuve-n164805.html
On est en droit de s’interroger.
Première chose qui saute aux yeux : l’anonymisation que la Cnil a prescrit n’est pas du tout respectée.
Le reste plus technique ne semble pas avoir été analysé à nouveau par des gens compétents pour déterminer si oui ou non il y a transmission.
Vous n'avez pas compris cet article je pense... quand il est dit que les informations personnelles sont transmises, ça ne veut pas dire qu'elles sont transmises via internet sur un quelconque serveur. Ça veut juste dire que les infos sont contenues dans le QRCode et que même si TousAntiCovid Verif ne les affiche pas sur le smartphone du contrôleur, les infos sont bien présentes dans le QRCode et qu'en utilisant un autre lecteur de QRCode, ces infos seront affichées en clair.
Bon alors :
Quand le QRCode est scanné sa signature est vérifiée, celle-ci est dans une base de donnée de chaque pays et l'UE a créé une passerelle entre les pays pour controlé la signature
https://ec.europa.eu/info/live-work-travel-eu/coronavirus-response/safe-covid-19-vaccines-europeans/eu-digital-covid-certificate_fr#comment-le-certificat-fonctionnera-t-il
@heero
la vérification d'une signature avec sa clé privé ne nécessite pas de communiquer le contenu des données.
Comme c'est cela qui est expliqué dans la page que vous citez, c'est sur cela qu'il faut mettre l'accent pour rassurer.
@oomu
L’oomu à parlé ! Qu’on se le dise ! 😬
Pages